Rationalité et irrationalité dans le gestion des risques informatiques

Rationalité et irrationalité dans le gestion des risques

informatiques

Sophie Tacchi

[email protected]

Agenda

Evolution technologique, innovation Typologie des risques

Analyse de la nature des menaces Qu’en dit le législateur ?

Nécessité d’une approche holistique de gestion des risques IT

Les principaux domaines du SI à sécuriser

Besoins en formation

Bienvenue dans une planète plus intelligente …

Globalisation et virtualisation des ressources, consommation de

l’informatique dans le cloud Accès à l’information

En temps réel Milliards d’équipements et

d’individus accèdent au web

+ de possibilités + de complexité Nouveaux risques

Nouvelles formes d’échange et de collaboration – réseau sociaux

Par inadvertance Intentionnelles Pannes d’électricité

Malware

Déni de service

Attaques sophistiquées et organisées

Désastres naturels Bouleversements politiques ou économiques

Systèmes non patchés Vulnérabilité du code Pas contrôle des changements

“Back doors” créées par des développeurs Vol de données

Fraudeurs internes

Les menaces augmentent.. Impactant les niveaux de services, les coûts et l’activité. Il existe une multitude de scénarios de menaces …

Menaces Externes

Evolution des menaces : Les récentes attaques amènent à se poser des questions

sur l'efficacité des mécanismes de sécurité traditionnels

Exemples d’attaques ciblées visant des entreprises et des gouvernements

0 10000 20000 30000 40000 50000 60000

1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

Total Cumulative Vulnerabilities 1996-2011

Vulnérabilités cumulées –

Les vulnérabilités sont peu « patchées » mais la tendance s’améliore.

Une technique d’infection parmi d’autres : navigation sur le web !!!!

Un Utilisateur

Surfe sur internet Serveur iframe

malicieux Serveur Web qui intègre

un iframe

Téléchargement sur le poste de l’utilisateur

« Downloader » installé

Malware installé et activaté

Code malicieux téléchargé

BlackHat SEO and Rogue Antivirus Exploits Trick End Users

• Attackers use search engine optimization techniques to get their malicious websites listed at the top of search engine results

• Attackers monitor top trending topics on major search engines and social

networking sites.

• Continuing in 2011, Rogue AV software uses Blackhat SEO techniques to distribute itself.

Tendances en terme de malware

• Zeus anime une e-économie souterraine et vend :

– Des versions privées de l’outil avec des plugins additionnels – Des services de configuration Zeus

– Des services hébergés et gérés

– Des add-on Zeus avec packages additionnels

Zeus Services de cybercriminalité

Hosting for costs $50 for 3 months.

This includes the following:

# Fully set up ZeuS Trojan with configured FUD binary.

# Log all information via internet explorer

# Log all FTP connections

# Steal banking data

# Steal credit cards

# Phish US, UK and RU banks

# Host file override

# All other ZeuS Trojan features

# Fully set up MalKit with stats viewer inter graded.

# 10 IE 4/5/6/7 exploits

# 2 Firefox exploits

# 1 Opera exploit“

We also host normal ZeuS clients for $10/month.

This includes a fully set up zeus panel/configured Hosting for costs $50 for 3 months.

This includes the following:

# Fully set up ZeuS Trojan with configured FUD binary.

# Log all information via internet explorer

# Log all FTP connections

# Steal banking data

# Steal credit cards

# Phish US, UK and RU banks

# Host file override

# All other ZeuS Trojan features

# Fully set up MalKit with stats viewer inter graded.

# 10 IE 4/5/6/7 exploits

# 2 Firefox exploits

# 1 Opera exploit“

We also host normal ZeuS clients for $10/month.

This includes a fully set up zeus panel/configured

En parallèle arriva SpyEye…

•Un concurrent de Zeus – SpyEye a été conçu pour être plus “grand public”

– Ses robots avaient la capacité d’effacer Zeus

– Il introduit de nouvelles fonctionnalités comme – Keylogger, et « sniffer » de

réseaux

2010 - Zeus et SpyEye ont fusionné

Trojan Creator Kits

● Constructor/Turkojan

● V.4 New features

● Accéder à un poste en “Remote Desktop”

● Activer la webcam et enregistrer à l’insue de l’utilisateur

● Audio Streaming

● Récupérer tous les mots de passe

● MSN Sniffer

● Online & Offline keylogger

● Etc..

Un

commerce

en pleine

expansion…

Que dit le législateur?

Soucieux de la protection de la vie privée des citoyens et des actifs immatériels de l’entreprise (dont le Capital intellectuel ), le législateur étoffe les contraintes légales avec le temps.

– France : CNIL loi n ° 78-17 du 6/1/1978 – modifiée en 2004 – Cadre réglementaire Européen

- Directive de protection des données 95/46/EC, - Directive ePrivacy 2002/58/EC

- Directive « Privacy by Design » applicable au 1

Janvier 2015 Cible : organisations de plus de 250 personnes

Pour tous les nouveaux développements intégrant des données privées et des données de l’entrepris

Amende : 2 % du chiffre d’affaires mondial de l’entreprise

– Décret de confidentialité pour les données médicales/ hébergeur de données de santé

– Les données personnelles appartiennent à leurs titulaires, tout accès non

Pour innover et opérer en toute confiance, les organisations doivent gérer leurs risques Informatiques de bout en bout.

Définir sa politique de sécurité Gérer ses risques

Gouvernance Risque et Conformité

Sécuriser les identités

•Fournir les ressources informatiques

nécessaires à l’instant t

Protéger les Données Protéger les données

• Structurées en Bases de Données

Protéger les Applications

• Concevoir des applications

sécurisées dès la conception

• Corriger les vulnérabilités

Protéger les Infrastructures

•Réseaux

•Ordinateurs

•Centraux

•Serveurs

•Les postes

Surveillance intelligente et conformité

Exemple : ce n’est pas parce que l’on dispose d’une carte à puce que l’intégralité de la chaine du paiement par carte est sécurisée

Banque du commerçant Télecollecteur

Boutique e commerce

Données sensible : #CB, Date de validité, CVV

Il existe plusieurs chemins pour accéder aux données cartes, le dupliquer pour les revendre ou pour acheter

frauduleusement sur internet.

VISA, MC, AMEX, JCB ont défini le standard PCI DSS auquel toutes banques ou e- marchands « doivent » se conformer.

Gouvernance

Gouvernance – – Risques Risques - - conformit

conformit é é

Ré R épondre aux questions urgentes pondre aux questions urgentes Quels sont les risques ?

Quels contrôles mettre en place ?

Gestion des acc

Gestion des acc è è s et des s et des identit

identit é é s des personnes s des personnes (et des objets)

(et des objets)

RéRépondre aux questions urgentespondre aux questions urgentes

Est-Est-ce que le registre des identitce que le registre des identitéés est prés est précis et cis et àà jour ?

jour ?

Quelle gestion des identités dans un cloud?

Comment re-certifier les habilitations ? Comment contrôler les utilisateurs privilégies?

Prot Prot é é ger les donn ger les donn é é es es contre les acc

contre les acc è è s non s non autoris

autoris é é s s

Ré R é pondre aux questions urgentes pondre aux questions urgentes

OOùùsont les donnsont les donnéées sensibles? es sensibles?

Sous quelles formes sont

Sous quelles formes sont--elles ?elles ?

S S é é curiser les curiser les applications applications

“ “ by design by design ” ”

RéRépondre aux questions urgentespondre aux questions urgentes

Les nouvelles applications sont-elles

“sécurisées” ?

Comment corriger les vulnérabilités existantes ?

Comment sécuriser les webservices ?

Fermer la porte aux Fermer la porte aux

hackers hackers

RéRépondre aux questions urgentespondre aux questions urgentes Qui attaque mon syst

Qui attaque mon systèème ? me ? Quelles sont les derni

Quelles sont les dernièères mesures de res mesures de

Ma Ma î î trise ses postes de trise ses postes de travail et

travail et é é quipements quipements connect

connect é é s sur le r s sur le r é é seau seau

RéRépondre aux questions urgentespondre aux questions urgentes Comment protéger les postes de travail ? Comment vérifier la conformité par rapport aux

politiques de sécurité ?

Comment protéger les terminaux mobiles ? Comment gérer le BYOD ?

Les besoins en formation pour les années à venir

Spécialistes Juridiques de la sécurité numérique / CNIL +

« privacy by design »

Spécialistes en sécurité informatique – white hats Architectes Sécurité

Analystes Sécuritaires

Spécialistes sécurité Réseaux, IAM, Données, Applications, Gestionnaires de risques informatiques

……..

IBM Security Systemssuivants pour devancer les menaces et mieux protéger son SILes journées du Management

Optimisé

Sécurité Intelligente:

Gestion des événements et des information de sécurité

Corrélation de Logs en temps réélet analyse comportementale des flux sur le réseaux Assistance externe d’un service de recherche en menaces

Analyse en fct des rôles

Gouvernance ID Gestion des Utilisateurs privilégiés

Analyse des flux de donées

Gouvernance des données

Procesus d’ingéniérie d’applicatoins Détection de la fraude

Surveillance

avancée du réseau Investigation / data mining

Systèmes sécurisés

Avancé

Provisionning des Utilisateurs

Gestion des accès Authentificaiton forte

Surveillance des accès aux données Prévenir contre le vol de données

Pare feu applicatif Scanner de code source

Sécurité de la virtualisation

Gestion Sécuritaire des équipements et terminaux/ Réseaux

Basique Annuaire centralisé Chiffrement Contrôle d’acces

Scanner d’application

Sécurité périmétrique Anti virus/anti malware

Sécurité Intelligente

Questions?

Merci